https://github.com/frohoff/ysoserial
是一个概念验证工具,用于生成利用不安全的 Java 对象反序列化的有效负载。它还可以与 JMX 配合使用。
有什么方法可以保证 JMX 的安全吗? 我还读过https://tersesystems.com/2015/11/08/closing-the-open-door-of-java-object-serialization/ 。我不明白如何在我的项目中使用 NotSoSerial。
最佳答案
您可以通过从 github 构建项目来运行 NotSoSerial,然后获取 jar 并在命令行上使用以下参数运行 JVM:
-javaagent:notsoserial.jar -Dnotsoserial.whitelist=empty.txt
如 https://github.com/kantega/notsoserial#whitelisting-mode 中指定
如果您想使用 JMX 但不想使用 RMI(它使用 Java 序列化),请查看 jmxtrans 或 Jolokia,看看如何最好地锁定通过那里传递的 JSON 消息。
关于java - 如何修复 JMX 中的 java 序列化漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37343567/